Функционал DLP: самое главное в системах защиты от утечек

Александр Ковалев
директор по маркетингу
компании Zecurion

В первую очередь необходимо напомнить основную "миссию" DLP: минимизация рисков утечки информации. Хотя этот тезис регулярно доносится, до сих пор распространенной ошибкой являются завышенные ожидания заказчиков, что DLP-системы должны исключить утечки полностью. DLP - не панацея от инсайдеров, даже при технологическом совершенстве защиты всегда остается возможность для злоумышленников: например, нужную информацию можно просто запомнить и вынести ее за пределы организации на самом неконтролируемом носителе - в собственной памяти. Итак, DLP-системы призваны сокращать риски утечки информации - именно этот критерий основополагающий.

Контроль всех каналов

Эта формулировка, конечно же, преувеличена. Однако именно такой недостижимый идеал и служит интегральным направлением развития DLP-продуктов. Число и перечень контролируемых каналов являются одними из основных критериев выбора DLP-системы. Наиболее популярные потенциальные каналы утечки информации сегодня составляют три основные группы.

Первая из них - периферийные устройства, которые могут быть использованы для копирования и выноса информации за пределы организации. Львиную их долю составляют всевозможные USB-устройства. Для полной защиты необходимо контролировать использование всех портов и слотов, в том числе LPT, COM, IEEE 1394. Отдельную группу составляют мобильные устройства, подключаемые к компьютеру беспроводным способом - для их охвата необходимо контролировать Bluetooth, Wi-Fi, IrDA. Наконец, немаловажным является контроль печати на принтерах, причем разные DLP-системы имеют разные возможности контроля локальных и сетевых принтеров.

Отдельно стоит отметить, что многие российские DLP-компании предлагают функционал для контроля флешек и прочей периферии, однако не собственной разработки.

Вторая группа каналов утечки связана с использованием сети. Доля утечек по сетевым каналам растет год от года, это и не удивительно: в редкой организации вне зависимости от размера сегодня не используют электронную почту, мессенджеры и Интернет. Перечень возможных каналов здесь практически не ограничен, поэтому следует обращать внимание на возможности DLP-системы контролировать именно те сервисы, которые чаще всего используются в данной конкретной компании. Например, некоторые DLP-системы зарубежного происхождения не поддерживают контроль ICQ, хотя именно этот интернет-пейджер является самым популярным в России. Подобные сложности могут быть у некоторых продуктов с контролем зашифрованного HTTPS-трафика, Skype, FTP и некоторых других типов трафика.

К третьей группе каналов условно можно отнести хранилища информации. Защиту данных при хранении традиционно не включают в DLP, однако по сути своей задачи она вполне логично дополняет ряд средств предотвращения утечек информации. К этой группе относятся средства поиска и шифрования информации, которая хранится и обрабатывается на серверах, рабочих компьютерах и ноутбуках, а также резервных носителях.

Режим работы

Поскольку главное назначение DLP-систем - это предотвращение утечек, казалось бы, основным режимом работы системы должно быть блокирование, или активный режим. Это действительно так, однако в ряде случаев задача стоит менее категорично. Например, на этапе настройки системы или в случае, когда активная блокировка ощутимо влияет на протекание бизнес-процессов, более уместен пассивный контроль. Однако в этом случае следует отдавать отчет в том, что риск утечки остается на высоком уровне, и DLP будет использоваться скорее для расследования инцидентов, а не для их предотвращения. Очевидно, оптимальной для DLP является возможность выбора и гибкой настройки работы системы в активном или пассивном режимах. Некоторые решения предлагают и третий, промежуточный режим, при котором подозрительные сообщения временно блокируются и заносятся в так называемый карантин для ручной обработки администратором.

Архив

Помимо непосредственной блокировки утечек информации, DLP-системы предназначены также для расследования инцидентов, и важнейшей их частью является архив перехваченных сообщений и файлов, которые пользователи отправляют за пределы сети или копируют на внешние накопители. В случае с DLP-системой понять, как именно происходят утечки информации, можно только по результатам анализа архивных данных. С одной стороны, это позволяет точно и быстро найти виновного в инциденте. С другой - помогает понять, как именно произошла утечка, и оптимизировать настройки системы так, чтобы исключить повторение данного сценария в будущем. Архивирование трафика, в частности корпоративной переписки, регламентируется некоторыми нормативами ИБ, например стандартом ЦБ РФ. DLP-система со встроенным архивом позволяет успешно решить задачу соответствия подобным нормативам.

Отчетность

Для удобства работы с архивом, как правило, существуют различные инструменты поиска и анализа архивных данных. Кроме того, важным подспорьем в работе администратора ИБ является инструментарий для построения отчетов, которые помогают в наглядной форме представить результаты работы DLP-системы. Помимо полноты отчетов и возможностей построения кастомизированных графиков, немаловажной является наглядность как для специалистов по ИБ, так и для руководства.

Детектирование конфиденциальных данных

Эпицентр технологичности DLP-систем сосредоточен именно здесь, ведь от точности определения конфиденциальности передаваемой информации зависит, с одной стороны, эффективность работы всей системы, а с другой - доля ложных срабатываний. Наиболее распространенной технологией детектирования в современных DLP-системах является технология цифровых отпечатков, которая сравнивает перехваченные файлы с заранее "снятыми" отпечатками конфиденциальных документов. Эта технология, однако, не может служить универсальным способом детектирования. Также широко применяются лингвистические технологии, включая анализ по словарям и стемминг (учет грамматических словоформ), регулярные выражения для типизированных данных. Некоторые разработчики DLP-систем идут дальше традиционных средств и предлагают "умные" системы детектирования, которые принимают решение исходя из накопленного "опыта" определения вероятности конфиденциальности тех или иных данных. Объединяет все эти технологии их неуниверсальность: каждая технология подходит для определенного типа данных - поэтому наивысшую эффективность обеспечивает не какая-то из технологий, а применение как можно большего числа технологий в сочетании.

Поиск конфиденциальной информации

Речь идет о сканировании корпоративной сети и определении мест хранения конфиденциальных документов. Правила хранения конфиденциальных данных являются базовыми в общей политике информационной безопасности, и именно с их реализации должна начинаться защита от утечек. Пока, к сожалению, такой функционал реализован далеко не во всех DLP-продуктах.

Шифрование

Шифрование информации предотвращает целый класс утечек, связанных с потерей или кражей физических носителей: компьютеров, жестких дисков, ноутбуков. Помимо того что класс продуктов для шифрования тесно примыкает по решаемым задачам к DLP-системам, уже происходит взаимопроникновение функционала. Например, шифрование информации при копировании на USB-носители создает дополнительный уровень защиты информации при использовании периферийных устройств.